avantika77/Linux-Log-Investigation-Ubuntu
GitHub: avantika77/Linux-Log-Investigation-Ubuntu
该项目展示了在 Ubuntu 环境中使用 Linux 原生工具进行认证日志分析、时间线重建和证据保全的完整数字取证调查实践。
Stars: 0 | Forks: 0
# Linux 日志调查 (Ubuntu)
## 概述
本项目展示了一个在 **Ubuntu 虚拟机** 上执行的 Linux 数字取证调查。调查重点在于分析认证日志、系统日志、用户活动、管理操作以及保全取证证据。
目标是识别与安全相关的事件,重建事件时间线,并使用行业标准的 DFIR 实践来记录调查过程。
## 目标
- 收集 Linux 系统信息
- 分析认证日志
- 调查用户登录活动
- 检查 sudo 权限使用情况
- 审查 CRON 计划任务
- 分析系统日志
- 重建事件时间线
- 保全取证证据
- 使用 SHA-256 哈希校验证据完整性
# 实验环境
| 组件 | 详情 |
|------------|---------|
| 操作系统 | Ubuntu |
| 虚拟化 | Oracle VirtualBox |
| 调查类型 | Linux 日志调查 |
| 主日志 | `/var/log/auth.log` |
| Shell | Bash |
| 哈希算法 | SHA-256 |
# 使用的工具
- Ubuntu 终端
- grep
- cat
- tail
- last
- who
- awk
- sha256sum
- Oracle VirtualBox
# 调查工作流
```
Environment Setup
│
▼
Evidence Collection
│
▼
Authentication Log Analysis
│
▼
Timeline Reconstruction
│
▼
Evidence Preservation
│
▼
Reporting
```
# 调查步骤
## 步骤 1 – 环境设置
收集了以下系统信息:
- 主机名
- 当前用户
- Ubuntu 版本
- 内核版本
- 调查日期与时间
## 步骤 2 – 日志目录分析
检查了 Linux 日志目录:
```
/var/log
```
识别出的重要日志文件:
- auth.log
- syslog
- dpkg.log
- kern.log
## 步骤 3 – 认证日志分析
调查了:
```
/var/log/auth.log
```
分析了:
- 用户登录事件
- 认证尝试
- sudo 活动
- CRON 会话
## 步骤 4 – 认证事件调查
使用 Linux 命令行工具过滤了与安全相关的事件。
调查了:
- 失败的认证尝试
- 成功的认证
- sudo 命令执行
- 登录活动
- CRON 任务
## 步骤 5 – 时间线重建
创建了包含以下内容的认证时间线:
- 登录事件
- 失败的认证尝试
- sudo 执行
- CRON 活动
## 步骤 6 – 用户调查
审查了:
- 本地用户账户
- 活跃用户
- 登录历史
- 用户权限
## 步骤 7 – 系统日志分析
审查了:
- syslog
- 内核日志
- 软件包安装历史
## 步骤 8 – 证据保全
通过生成 SHA-256 哈希值收集了取证工件并保全了证据以确保其完整性。
# 收集的证据
```
evidence/
│
├── logs/
├── timeline/
├── system_info/
└── evidence_hashes.txt
```
# 关键发现
- 成功收集了 Linux 取证证据。
- 已分析认证日志。
- 识别出正常的登录活动。
- CRON 任务已成功执行。
- 观察到一次失败的 sudo 认证尝试。
- 已验证管理命令的执行。
- 未发现未经授权的用户账户。
- 已使用 SHA-256 哈希校验证据完整性。
# 使用的命令
调查期间使用的命令示例:
```
hostname
whoami
uname -r
cat /etc/os-release
cd /var/log
ls -lh
sudo tail -20 auth.log
grep "authentication failure" /var/log/auth.log
grep "COMMAND=" /var/log/auth.log
grep "CRON" /var/log/auth.log
cat /etc/passwd
who
last
tail -30 /var/log/syslog
tail -30 /var/log/kern.log
sha256sum evidence/logs/*
```
# 展示的技能
- Linux 管理
- Linux 日志分析
- 数字取证
- 应急响应
- 认证分析
- 时间线重建
- 证据保全
- SHA-256 哈希校验
- 技术文档
# 仓库结构
```
Linux-Log-Investigation-Ubuntu/
│
├── README.md
├── LICENSE
├── .gitignore
│
├── report/
├── evidence/
├── screenshots/
└── commands/
```
# 截图
本仓库包含以下演示截图:
- 环境设置
- Linux 日志目录
- 认证日志分析
- 认证事件
- 时间线重建
- 用户调查
- 系统日志分析
- 证据收集
- SHA-256 校验
# 未来改进
- 使用 Bash 脚本自动化日志解析
- 集成 Splunk SIEM
- 调查 Windows 事件日志
- 使用 Volatility 执行内存取证
- 开发自动化取证报告
# 作者
**Avantika Shrivastava**
数字取证爱好者
## 许可证
本项目基于 MIT 许可证授权。
标签:Linux运维, 事件时间线重构, 库, 应急响应, 应用安全, 数字取证, 自动化脚本, 证据保全